分享
 
 
 

流量牵引技术在防DOS攻击中的应用

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

网络安全技术随着信息技术的发展而日新月异,许多安全技术成并行发展。现在网络安全领域又出现了一个新技术――流量牵引技术。什么是流量牵引?为什么要使用流量牵引技术?我们先从下面的拓扑开始介绍。

什么是流量牵引

上图中的Defender就是我们熟悉的抗DDoS设备,Probe是一个专门用来分析网络流量的预警设备。对于这些网络安全设备我们并不陌生,但对于这样的拓扑结构恐怕就不常见了。两个路由器之间是两条并行的线路,在以往部署抗DDoS攻击设备的时候通常是把它直接串联在网络中,正常流量和攻击流量都穿过抗DDoS设备。让我们先根据这个简单的拓扑来解释一下什么是流量牵引。

在没有DDoS攻击的时候,流量直接从R1转发到R2,不经过抗DDoS设备。当网络中存在攻击时,例如某台设备server1遭受到了DDoS攻击,Probe监测到攻击行为后,目标为server1的流量将被转发到Defender。这些流量到达抗DDoS设备后,经过一系列的检测、甄别、过滤等算法,剩余的合法流量将继续被转发到R2。而此时其它的流量仍然保持原来的路线,即直接从R1转发到R2。

流量牵引就是将攻击流量和正常流量进行分离,由抗DDoS设备来专门抵抗DDoS攻击,保证正常流量尽可能的不受到攻击的干扰。

为什么我们要实现流量牵引

上面我们简单解释了什么是流量牵引,现在分析第二个问题,为什么要进行流量牵引。

流量牵引技术是为了防御大规模DDoS攻击和避免单点故障问题而提出的。最初防御DDoS攻击是依靠防火墙上的抗DDoS模块来完成,后来人们意识到即使再优秀的防火墙产品,上面的抗DDoS模块的防御DDoS功能也都比较弱,由于防火墙自身构造原理造成了抗DDoS的瓶颈,这是一个根本上的障碍。这样人们才改变思路,开始在网络中部署专门的抗DDoS攻击设备。DDoS设备是串联在网络中的,我们大家都知道,网络的拓扑结构越简洁越好,在网络中每增加一个环节就可能会增加一个潜在的故障点。我们设想一下,一旦抗DDoS设备无力抵抗海量的DDoS攻击,那么很可能会造成抗DDoS设备失效,这样就导致了整个网络的断线。流量牵引技术的目的就是为了提高网络抗DDoS的容错性,这好比我们祖先大禹治水时用的策略,一面堆堵,一面疏导。堵也罢,疏导也罢,手段虽然不同但目的始终是唯一的,那就是治水。流量牵引技术使用的都是我们已经熟知的成熟技术,只是换了一种思考的方式,将我们祖先治水的哲学思想用在了抗 DDoS攻击中。

在这里我们继续以上图为例说明。当针对server1的DDoS攻击发生的时候,我们将针对server1的攻击流量牵引到抗DDoS设备上去,其他的流量继续沿原路转发,不受干扰。这样我们首先实现了一个目的,那就是保证多数正常流量不受攻击干扰。经过流量牵引后到达抗DDoS设备上的流量经过分流后必然有所减弱,流量越小抗DDoS攻击设备分析和防御能力就会越强,这样又实现了我们第二个目的,提高了抗DDoS设备的性能。当针对server1的攻击流量到达抗DDoS设备的时候,我们面临两种可能,一种是能够防御的住,一种是防御不住。如果防御的住,那当然就不存在问题了。如果防御不住呢? 最多会造成一个地址不能被访问,将攻击所能造成的危害降低到最小,不至于因为一个点的攻击而导致整个网络不能通信,这个代价相比而言是最小的。

流量牵引技术的实现

绿盟科技长期以来一直致力于抗DDoS攻击的探索,当流量牵引技术仅仅作为一种学术设想出现在国际网络安全舞台的时候,绿盟人就被其大胆的构想,巧妙的思维所打动,经过缜密的可行性研究后投入了流量牵引技术的研发工作。一方面继续对抗DDoS攻击的深入研究,拓展抗DDoS产品在应用层抵御DDoS的功能,确保绿盟科技的“黑洞”作为抗DDoS专用设备的的领先地位;一方面组织专门人员进行流量牵引技术的分析研究。由于绿盟科技在这两方面的知识储备都比较充足,研发进展很快,现已经推出流量牵引抗DDoS产品,并已在国内一家著名网站和两家IDC投入了试用,效果良好。

流量牵引技术的应用案例

一家长期和绿盟科技合作的IDC成为了流量牵引的第一个用户,他们三年前就使用绿盟的“黑洞”抗拒绝服务攻击系统来防御DDoS攻击。他们最感兴趣的就是利用流量牵引来避免“触一发而动全身”,也就是说避免因为他们IDC中的个别服务器被攻击而导致整个网络受影响。这是他们以前的一个拓扑,出于安全考虑这个拓扑进行了部分省略。

该IDC中有许多托管主机,每天都会遭受各种DDoS攻击。现在的网络攻击不同于以往了,以前的网络攻击多数属于恶作剧性质,随着网络经济的发展,现在的网络攻击更偏重于经济目的,攻击的组织性计划性很强,攻击目标非常明确。这些托管服务器往往都被放置在一个区域,当针对一台服务器进行攻击的时候也影响到了其他服务器的通信。

采用了绿盟科技的流量牵引技术后,网络拓扑变成了这样的结构:

流量牵引拓扑与上图相比发生了很大的变化,从路由器到内部网络变成了双链路,而且又增加了一个新设备――Probe。为了方便研究,我们假设服务器1正在受到攻击。

Defender是在“黑洞”的基础上发展起来的,在已有技术的基础上加强了对应用层DDoS的防御。由于对针对服务器1的攻击流量被切换到了Defender上,外网到服务器2和服务器3的访问将不受到干扰,攻击的压力落在了Defender和服务器1上。这样我们就把被攻击事件限制在了局部。通常DDoS攻击目标明确,而且是持续不断的不定期的骚扰。必要的时候也可以通过Probe的监测功能来追踪攻击来源,Probe可以收集到整个网络的netflow信息,通过对这些信息的分析,判断出攻击流量进入网络的入口。层层追踪锁定攻击来源的范围。

检测 通过Probe的分析做出清晰的分析,根据设置的阀值来修改路由器的路由,这个工作由Probe来做有一个很大的好处,这样可以不用经常调节Defender。做过网管的人都知道,并联设备的调试通常不妨碍什么,对于网络中的串联设备的调试就要很慎重了。

分流 把攻击流量分流到Defender上,正常流量继续沿原路通信

追踪 长期性的攻击是不可以忍受的,下一步就是通过Probe上的判断,在路由器间寻找攻击的来源,把他局限在一个范围内。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有